分类: 恶意软件

极善隐藏的恶意软件,悄悄在亚、非地区泛滥

最近,一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件,它的存在是攻击者感染链中的一个关键环节。 捷克网络安全公司Avast表示,PNG(图片格式)文件作为隐藏信息盗窃的有效载荷,有很大的隐蔽性。 “该公司说:”值得注意的是,攻击者通过使用Dropbox存储库从受害者的机器上收集数据,并用Dropbox API与最终阶段进行通信。 在ESET披露Worok对位于亚洲和非洲的高知名度公司和地方政府进行了攻击。 斯洛伐克网络安全公司还记录了Worok的破坏序列,它利用了一个名为CLRLoad的基于C++的加载器,为嵌入PNG图像的未知PowerShell脚本铺平道路,这种技术被称为隐写术。 也就是说,尽管某些入侵行为需要使用微软Exchange服务器中的ProxyShell漏洞来部署恶意软件,但最初的攻击载体仍然是未知的。 Avast的研究结果表明,该组织在获得初始访问权后利用DLL侧载来执行CLRLoad恶意软件,但在受感染环境中进行横向移动之前并没有。 据称,由CLRLoad(或另一个名为PowHeartBeat的第一阶段)启动的PNGLoad有两个变体,每个变体负责解码图像内的恶意代码,以启动PowerShell脚本或基于.NET C#的有效载荷。 虽然网络安全公司指出,它能够标记一些属于第二类的PNG文件,这些文件分发了一个隐藏的C#恶意软件,但PowerShell脚本仍然是难以捉摸的。 之所以,这些PNG图片看起来很无害。是因为,PNG文件位于C:\Program Files\Internet Explorer中,图片不会引起注意,而且Internet Explorer也有一个类似的主题。 这种新的恶意软件,代号为DropboxControl,作为一种信息窃取工具,它使用Dropbox账户进行命令和控制,使攻击者能够上传和下载文件到特定的文件夹,以及运行存在于某个文件中的命令。 其中一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和渗出系统元数据的能力。 Avast说,柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响的几个主要国家,而且,由于 “这些有效载荷的代码质量明显不同”,该恶意软件的作者可能与CLRLoad和PNGLoad的作者也不同。 无论如何,通过嵌入式病毒工具来收集感兴趣的文件,都清楚地表明了Worok的情报收集目的。 研究人员总结说:Worok的工具在流行率很低,所以它可以表明该工具集是一个APT项目,侧重于亚洲、非洲和北美的私营和公共部门的高知名度实体。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349816.html 封面来源于网络,如有侵权请联系删除

CERT-UA警告称,乌克兰多个组织遭到了 Somnia 勒索软件攻击

Hackernews 编译,转载请注明出处: 俄罗斯黑客使用了一个名为Somnia的新勒索软件来攻击乌克兰的多个组织。 政府专家将这些攻击归咎于“来自俄罗斯的爱”(FRwL)(又名Z-Team,UAC-0118)组织,据信这是一个亲俄罗斯的黑客活动组织。 CERT-UA发布的公告称:“FRwL(又名Z-Team)的活动由CERT-UA以标识符UAC-0118进行监控,对未经授权干预攻击目标的自动化系统和电子计算机的操作负责。” 调查发现,最初的入侵是由于下载和运行了一个模仿“高级IP扫描仪”软件的文件,但实际上包含了Vidar恶意软件。 根据警报,乌克兰组织最初被相关访问代理入侵,然后将泄露的数据转移给FRwL集团,该集团利用该数据进行网络攻击。 用作诱饵的“高级IP扫描仪”软件实际上包含了Vidar恶意软件,这是一种窃取数据的恶意软件,还能够捕获Telegram会话数据并接管受害者的帐户。 然后,黑客滥用受害者的Telegram帐户来窃取VPN配置数据(身份验证和证书)。如果VPN帐户未受到双重身份验证的保护,则黑客可以使用VPN连接获得公司网络的未经授权的连接。 一旦获得对目标网络的访问权限,攻击者就会使用Netscan等工具进行侦察,并在泄露数据之前部署Cobalt Strike Beacons。 需要强调的是,Somnia攻击背后的黑客并不要求支付赎金,他们的行动旨在破坏目标的网络。 CERT-UA还报告说,Somnia恶意软件正在不断发展。该恶意软件的第一个版本使用对称3DES算法,而第二个版本使用AES算法,同时,考虑到密钥和初始化向量的动态性,根据攻击者的理论计划,这个版本的Somnia不提供数据解密的可能性。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

用于挖掘加密和发起 DDoS 攻击的新型 KmsdBot 恶意软件劫持系统

Hackernews 编译,转载请注明出处: 一个新发现的规避恶意软件利用Secure Shell(SSH)加密协议进入目标系统,目的是挖掘加密货币并实施分布式拒绝服务(DDoS)攻击。 Akamai安全情报响应团队(SIRT)将基于Golang的恶意软件称为KmsdBot,它针对从游戏到豪华汽车品牌再到安全公司的各种公司。 Akamai研究员Larry W.Cashdollar表示:“僵尸网络通过使用弱登录凭据的SSH连接感染系统,为了逃避检测,恶意软件不会在被感染的系统上持续存在。” 该恶意软件的名称来自一个名为“kmsd.exe”的可执行文件,该文件是在成功入侵后从远程服务器下载的。它还旨在支持多种体系结构,如Winx86、Arm64、mips64和x86_64。 KmsdBot具有执行扫描操作并通过下载用户名和密码组合列表进行自我传播的能力。它还可以控制挖掘过程并更新恶意软件。 Akamai表示,该恶意软件的第一个目标是一家名为FiveM的游戏公司,这是一款《侠盗猎车手5》的多人模式,允许玩家访问自定义角色扮演服务器。 该网络基础设施公司观察到的DDoS攻击包括第4层和第7层攻击,其中发送大量TCP、UDP或HTTP GET请求,以压垮目标服务器的资源并阻碍其处理和响应能力。 Cashdollar表示:“这个僵尸网络是安全复杂性及其演变程度的一个很好的例子。最初似乎是一个游戏应用程序的机器人,现在已经转向攻击大型奢侈品牌。” 卡巴斯基的遥测数据显示,越来越多的脆弱软件被用于部署加密货币矿工,从2022年第一季度的12%跃升至第三季度的17%。近一半的恶意挖掘软件分析样本(48%)秘密挖掘Monero(XMR)。 这家俄罗斯网络安全公司表示:“有趣的是,2022年第三季度最受攻击的国家是埃塞俄比亚(2.38%),在那里使用和开采加密货币是非法的。哈萨克斯坦(2.13%)和乌兹别克斯坦(2.01%)位居第二、三位。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄罗斯背景的 LockBit 勒索软件运营商在加拿大被捕

当地时间11月10日,欧洲刑警组织宣布在加拿大安大略省逮捕了一名LockBit勒索软件运营商,该勒索软件与俄罗斯相关,经常针对全球关键基础设施组织和知名公司。 在欧洲刑警组织欧洲网络犯罪中心(EC3)、联邦调查局(FBI)和加拿大皇家骑警(RCMP)的协助下,法国国家宪兵队领导了一项调查,嫌疑人于上月在加拿大安大略省被捕,目前正在等待被引渡到美国。 欧洲刑警组织表示:“10月26日,世界上最多产的勒索软件运营商之一在加拿大安大略省被捕。嫌疑人是一名33岁的俄罗斯人,据信他部署了LockBit勒索软件,对世界各地的关键基础设施和大型工业集团实施攻击。” 执法人员还从嫌疑人家中缴获了8台电脑和32个外挂硬盘、两支枪支和价值40万欧元的加密货币。 这名LockBit运营商“是欧洲刑警组织的高价值目标之一,他参与了许多重大勒索软件案件”,他通常开出500万至7000万欧元的赎金要求。欧洲刑警组织补充到。 虽然欧洲刑警组织将嫌疑人描述为LockBit勒索软件的“运营商”,但他很可能只是该网络犯罪行动的一个附属机构,而不是主理者。此外,LockBit代表“LockBitSupp”昨天还在黑客论坛上发帖。 因参与LockBit勒索软件攻击被起诉 美国司法部在10日发布的新闻稿中称,嫌疑人名叫米哈伊尔·瓦西里耶夫,来自加拿大安大略省布拉德福德,拥有俄罗斯和加拿大双重国籍。 根据刑事起诉书,加拿大执法部门在2022年8月对他的住处进行搜查时,还发现了Tox与“LockBitSupp”交换的截图、关于如何部署LockBit的Linux/ESXi锁和恶意软件源代码的说明,以及“一张照片,显示了加拿大一名LockBit受害者员工的各种平台的用户名和密码,该受害者在2022年1月左右遭受了确认的LockBit攻击。” 瓦西里耶夫被指控共谋勒索攻击和故意破坏电脑。如果罪名成立,他将面临最高5年的监禁。 美国司法部副部长Lisa O. Monaco当天表示:“此次逮捕是对LockBit勒索软件集团两年半多的调查的结果,该勒索软件集团伤害了美国和世界各地的受害者。” 若干勒索软件运营者被捕 在此之前,2021年10月,FBI、法国警方和乌克兰国家警察在乌克兰开展了一项联合国际执法行动,在基辅逮捕了瓦西里耶夫的两名同伙。 欧洲刑警组织和乌克兰警方在公告中称嫌犯是一个顶级勒索软件团伙的成员,但欧洲刑警组织曾向媒体,出于行动原因,他们必须对该团伙的名字保密。 欧洲刑警组织表示:“两人是同一组织的成员,他们不仅专注于勒索赎金,还涉嫌清洗犯罪资金。” 去年,乌克兰警方还逮捕了据信是Clop和Egregor勒索软件行动成员的其他嫌疑人。 欧洲刑警组织还于2021年10月宣布,执法机构在乌克兰和瑞士逮捕了12名据信与LockerGoga、MegaCortex和Dharma勒索软件攻击有关的嫌疑人,这些攻击影响了71个国家的1800多名受害者。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349468.html 封面来源于网络,如有侵权请联系删除

IceXLoader 恶意软件破坏了全球数千名受害者的计算机

Hackernews 编译,转载请注明出处: 名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。 IceXLoader是一种商品恶意软件,在地下论坛上以118美元的价格出售,终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。 今年6月,Fortinet FortiGuard实验室表示,他们发现了一个用Nim编程语言编写的特洛伊木马版本,目的是逃避分析和检测。 Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示:“虽然6月份发现的版本(v3.0)看起来像是一个正在进行中的工作,但我们最近发现了一个新的v3.3.3加载器,它看起来功能齐全,并且包括一个多级交付链。” IceXLoader传统上是通过网络钓鱼活动分发的,包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。 在Minerva实验室详细描述的攻击序列中,发现ZIP文件包含一个dropper,该dropper会丢弃一个基于.NET的下载程序,从硬编码的URL下载PNG图像(“Ejvffhop.png”)。 这个图像文件(另一个dropper)随后被转换为字节数组,允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。 IceXLoader的3.3.3版本与其前身一样,是用Nim编写的,它可以收集系统元数据,所有元数据都会被泄露到远程攻击者控制的域中,同时等待服务器发出进一步的命令。 这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。 Minerva实验室表示,命令和控制(C2)服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息,并补充说,该文件正在通知受影响的公司。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

AI 攻防最前线:“恶意软件”击败人工智能围棋冠军 KataGo

一个连业余围棋选手都下不过的“恶意”围棋软件击败了不可一世的人工智能围棋冠军KataGo。 2016年李世石在1:4惨败给“阿尔法狗”的比赛中下出的“神之一手”,被职业围棋界看作是人类“最后的倔强”和人类能够挖掘的围棋人工智能技术“最后的漏洞”。此后,围棋人工智能技术的水平一骑绝尘,遥遥领先任何人类职业棋手,成了新的“围棋之神”,人类正式进入计算围棋时代。 但是,近日一篇人工智能论文惊掉了计算围棋界所有人的下巴,加州大学伯克利分校的研究人员们开发出一种对抗性样本技术来摸索KataGo的盲点,并用基于该技术的菜鸟级围棋程序(业余人类选手可轻松击败)打败了KataGO(当今最强的围棋人工智能程序,实力远超当年的阿尔法狗)。 据该论文的作者之一,加州大学伯克利分校的亚当戈里夫博士介绍,击败KataGo的“对抗性政策”方法挖掘并利用了KataGo的盲区(漏洞)。 KataGo是一个强大的开源围棋AI引擎,作为当今世界顶级围棋人工智能技术,实现了一系列超越阿尔法零算法的功能和技术,目前是韩国国家队的陪练AI,同时也支持着多种流行围棋软件,例如阿Q围棋、Anago等。 与谷歌的阿尔法零类似,KataGo通过与自己对战数百万盘比赛的海量数据来自我训练,但最新的论文成果表明,即便是KataGo这样的高度成熟的人工智能模型依然存在盲区,存在导致意外行为的漏洞。 格里夫博士介绍了击败KataGo的对抗性策略的一个示例。在上图中,执黑棋的业余围棋程序在棋盘的右上角围住角地实空,其余的广大空间则被KataGo牢牢控制。这让KataGo判定自己已经大获全胜,且已经收完最后一个单关,为了不“损空”选择“停招”(停一手),期待对手(执黑的业余围棋程序)也停招,根据围棋规则双方停招将自动结束比赛开始点目计算胜负。 但是,由于KataGo的围空中的黑子尚有活力,按照围棋裁判规则并未被判定为“死子”,因此KataGo的围空中有黑子的地方都不能被计算为有效目数,导致KataGo被系统判负。 虽然这看上去是一个非常“赖皮”,“令人感到作呕”的对抗性策略,但业余围棋程序确实在公平规则下击败了KataGo,该程序唯一的设计目的就是“专治”KataGo,即便它的水平连普通业余爱好者的水平都达不到。 更为可怕的是,不仅仅是KataGo,几乎所有深度学习人工智能技术,从人脸识别、自动驾驶到网络安全,都存在类似的盲区和脆弱性。 一些看似“无厘头”或“人畜无害”的对抗性样本,却能够击垮对人类顶级选手保持100%胜率的最强健的人工智能程序。 格里夫博士指出,这个研究结果在围棋比赛中很有趣,但是在安全关键系统中出现此类故障可能会带来灾难性后果。 在人工智能战胜人类顶级选手五年后,围棋这款古老的游戏仍然在机器学习中发挥着重要作用。对围棋人工智能技术漏洞的挖掘和分析,对关键人工智能应用(自动驾驶、智能助理、人脸识别、智能工厂、智慧城市)的安全性和攻防两端技术的发展都有重要的警示和启示作用。 根据Advesa的人工智能安全性报告,互联网、网络安全、生物识别和企业行业是人工智能网络安全问题的重灾区,都是“对抗性样本策略”的有效打击目标。 转自 安全内参,原文链接:https://www.secrss.com/articles/48788 封面来源于网络,如有侵权请联系删除

注意!一个新的恶意扩展可以远程控制你的谷歌浏览器

最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络,它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并让受害者的浏览器参与 DDoS 攻击。 Cloud9 浏览器实际上是 Chromium Web 浏览器(包括 Google Chrome 和 Microsoft Edge)的远程访问木马 (RAT),其作用是允许攻击者远程执行命令。 恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用,而是通过其他渠道传播,例如推送虚假 Adobe Flash Player 更新的网站。 这种方法似乎运作良好,因为根据Zimperium 的研究人员报告说,他们已经在全球系统上看到了 Cloud9 感染。 感染浏览器 Cloud9 是一个恶意浏览器扩展,它对 Chromium 浏览器进行感染,以执行大量的恶意功能。 该扩展工具由三个 JavaScript 文件组成,用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。 Zimperium 注意到它还加载了针对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。 这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更深入的系统入侵。 然而,即使没有 Windows 恶意软件组件,Cloud9 扩展也可以从受感染的浏览器中窃取 cookie,攻击者可以使用这些 cookie 劫持有效的用户会话并接管帐户。 此外,该恶意软件具有一个键盘记录器,可以窥探按键以窃取密码和其他敏感信息。 扩展中还存在一个“剪辑器”模块,不断监视系统剪贴板中是否有复制的密码或信用卡。 Cloud9 还可以通过静默加载网页来注入广告,从而产生广告展示,为其运营商带来收入。 最后,恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。 “第 7 层攻击通常很难检测,因为 TCP 连接看起来与正常请求非常相似” ,Zimperium 评论道。 开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。 运算符和目标 Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系,因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。 Keksec 负责开发和运行多个僵尸网络项目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。 Cloud9 的受害者遍布全球,攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。 此外,在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349237.html 封面来源于网络,如有侵权请联系删除

Amadey 恶意软件在被黑机器上部署 LockBit 3.0 勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,Amadey恶意软件被用于在受损系统上部署LockBit 3.0勒索软件。 AhnLab安全应急响应中心(ASEC)在今天发布的一份新报告中表示:“用于安装LockBit的恶意软件Amadey bot正通过两种方法进行分发:一种是使用恶意Word文档文件,另一种是利用伪装成Word文件图标的可执行文件。” Amadey于2018年首次被发现,是一个“罪犯对罪犯(C2C)僵尸网络信息窃取者项目”,正如黑莓研究和情报团队所描述的那样,在地下罪犯网站上可以购买,价格高达600美元。 虽然它的主要功能是从受感染的主机收集敏感信息,但它还兼作传递下一阶段工件的通道。今年7月初,它是使用SmokeLoader传播的,这是一种有与自身功能没有太大区别的恶意软件。 就在上个月,ASEC还发现了伪装成韩国流行的即时通讯服务KakaoTalk的恶意软件,作为网络钓鱼活动的一部分。 这家网络安全公司的最新分析基于2022年10月28日上传到VirusTotal的微软Word文件(“심시아.docx”)。该文档包含一个恶意VBA宏,当受害者启用该宏时,它会运行PowerShell命令以下载并运行Amadey。 在另一种攻击链中,Amadey伪装成一个看似无害的文件,上面带有Word图标,但实际上是一个通过网络钓鱼消息传播的可执行文件(“Resume.exe”)。ASEC表示,它无法识别被用作诱饵的电子邮件。 成功执行Amadey后,恶意软件从远程服务器获取并启动其他命令,其中包括PowerShell(.ps1)或二进制(.exe)格式的LockBit勒索软件。 LockBit 3.0,也称为LockBit Black,于2022年6月推出,同时推出了一个新的暗网门户和第一个勒索软件操作漏洞赏金计划,承诺在其网站和软件中发现漏洞可获得高达100万美元的奖励。 研究人员总结道:“由于LockBit勒索软件正在通过各种方法分发,因此建议用户谨慎使用。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

SmokeLoader 活动分发新的 Laplas Clipper 恶意软件

Hackernews 编译,转载请注明出处: 研究人员发现一个SmokeLoader活动,该活动正在分发恶意软件针对加密货币用户,如SystemBC和Raccoon Stealer 2.0,以及一个新的被追踪为Laplas的clipper恶意软件。 专家们在过去两周内检测到了180多个不同的clipper恶意软件样本,这一情况证实了该威胁在最近几周已被广泛部署。 Clipper是一系列恶意软件,旨在通过将受害者的钱包地址与攻击者拥有的钱包地址交换来劫持加密货币交易。 Clipper恶意软件监视受害者系统的剪贴板,然后每当用户复制数据时,它都会验证它是否是有效的加密货币钱包地址,并将其替换为攻击者的钱包地址。 Cyble发布的帖子写道:“Laplas是新的clipper恶意软件,它生成的钱包地址与受害者的钱包地址相似。受害者不会注意到地址的差异,这大大增加了clipper活动成功的机会。” 这个clipper可以瞄准多个钱包,包括比特币、以太坊、比特币现金、莱特币、Dogecoin、Monero、Ripple、ZCash、Dash、Ronin、Tron和Steam Trade URL。 以下是Laplas Clipper的定价选项: $29 / 周 $59 / 月 $159 / 3个月 $299 / 半年 $549 / 年 clipper提供了一个易于使用的仪表板,允许操作员检查受感染计算机的状态和活动TA钱包地址的详细信息。 报告总结道:“Smoke Loader是一个众所周知的、高度可配置的、有效的恶意软件,TA正在积极修复。它是一个模块化的恶意软件。这表明它可以从C&C服务器获取新的执行指令,并下载更多恶意软件以扩展功能。在这种情况下,TA使用三种不同的恶意软件家族来获取经济利益。RecordBreaker是Raccoon Stealer的复活版本,用于窃取敏感信息,SystemBC是一种多功能威胁,结合了代理和远程访问特洛伊木马功能,新的Laplas clipper执行剪贴板劫持以窃取受害者的加密货币。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Azov 数据擦除勒索软件新变种曝光,恶意构陷网络安全研究人员

BleepingComputer 曝光了近日正在肆虐的 Azov 数据擦除恶意软件,可知其能够通过广告软件捆绑、盗版软件下架、以及密钥生成器来分发。与近年来流行的勒索软件不同的是,新变种还将黑锅扣到知名的网络安全研究人员头上 —— 比如宣称自己由程序员兼恶意软件分析师 Hasherezade 打造。 如上方截图,亚速(Azor)恶意软件在勒索文本中恬不知耻地表示 ——“对设备的加密抗议旨在抗议克里米亚,以及西方世界在帮助乌克兰对抗俄罗斯方面做得不够”。 此外在指引受害人解密文件的描述中,Azor 恶意软件还指示受害者在 Twitter 上联系多位知名网络安全研究人员或研究机构,比如 Lawrence Abrams、Michael Gillespie 和 Vitali Kremez,以及 BleepingComputer、MalwareHunterTeam 和 VK Intel 。 然而现实是,由于上述人员和组织与 Azor 勒索软件没有任何关联,他们根本无法协助受害人清楚勒索软件、更别提支付赎金了。 MalwareHunterTeam 指出,Azov 勒索软件大约在两周前开始传播,其背后的威胁行为者似乎通过 SmokeLoader 僵尸网络实施了新变种的安装与传播。 许多网络犯罪分子都利用过 SmokeLoader 打造恶意软件,且通常分布于虚假的算号器、外挂、破解、以及游戏 Mod 网站中。 BleepingComputer 补充道,一些已被 Azor 勒索软件加密的系统、同样感染了 RedLine Stealer 恶意软件和 STOP 勒索软件。 最后,为保护计算机免受恶意软件攻击,希望大家不要出于好奇而访问潜在的恶意网站,并在打开不请自来的电子邮件时务必小心。 此外请确保将反病毒软件始终保持在最新,以防横向传播到通网络内的其它设备。以及养成定期备份系统和重要文件资料的习惯,从而在遇到意外状况时轻松恢复。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7160594333761061383/ 封面来源于网络,如有侵权请联系删除